Ubuntu-RS forumi
[Rešeno] hao_123 - Verzija za Štampu

+- Ubuntu-RS forumi (http://forum.ubuntu-rs.org)
+-- Forum: Ubuntu opšta podrška (/Forum-ubuntu-opsta-podrska)
+--- Forum: Sigurnost (/Forum-sigurnost)
+--- Tema: [Rešeno] hao_123 (/Thread-reseno-hao-123)

Stranice: 1 2


[Rešeno] hao_123 - BagZačin - 30.01.2014. 21.08

Ovo je stvarno haos Big Grin
Ja ne mogu da verujem da mi se, i kako mi se ovo desilo... Naime Vatrena lisica mi se na random linkovima (čak i kada direkt kucam adresu u adress bar) redirektuje na neki Kineski hao_123 sajt... Potražih malo na net-u, ali je to ko kanda neki windows dobroćudni zločinac u kompjuteru, nigde nema rešenja za (niti ovakvih slučajeva) Linux? Da li se još nekom desilo ovako nešto?
Dal da reinstaliram samo FF ili ceo sistem???
BTW nemam pojma gde sam ga mogao "zapatiti", ne posećujem sumnjiva mesta, ne poznajem sumljive njude itd.... Nemam neke karakteristične addonise, sem ovih default instalirane, zaista je - čudno...


[Rešeno] hao_123 - ivan_b - 30.01.2014. 21.18

Прво пробајте да у Домаћем директоријуму (/home) измените назив фасцикле .mozilla (чиме онемогућавате сва корисничка подешавања) при чему Лисица поново прави исти са подразумевајућим поставкама. Ако се и даље јавља проблем, копати даље.

Ако сам разумео Убунту је у питању? Или Виндоуз?


[Rešeno] hao_123 - promis - 30.01.2014. 21.28

Otvori novi profil za Frajerfoks pa vidi šta biva.


[Rešeno] hao_123 - BagZačin - 30.01.2014. 21.48

Za sada menjanje imena fascikle je odradila "posao" da mogu pristupiti npr sajtu "Blic" (u toku dana je konstantno na njemu prebacivao na Kineze, kao i neke sa w3.org-a,). Videćemo u toku "raubovanja" da'l će da se ovaj hao vrati (pu, pu... daleko bilo...). Ubuntu je u pitanju.... Naravno.... Malko sam se uspaničio, eto prvi put ovako nešto da me strefi...

Opet!!!!! Sada promisova varijanta....
(validator.w3.org je u pitanju, čudno kako Ubuntu srbiji mogu pristupiti uvek....)

Taman sam urekao... Sa FF-a nisam mogao pristupiti ni forumu... Sada sam sa Chrome-a. No, zanimljivo - i kod njega je simptom sličan!!!! Sada ću probati sa ClamAV-om iz riznica da skeniram... Ne mogu da verujem.....

Taman sam urekao... Sa FF-a nisam mogao pristupiti ni forumu... Sada sam sa Chrome-a. No, zanimljivo - i kod njega je simptom sličan!!!! Sada ću probati sa ClamAV-om iz riznica da skeniram... Ne mogu da verujem.....

Evo screenshoot-a....
http://www.dodaj.rs/f/3O/OL/2lOCMedw/screenshot-from-2014-01-.png
Skeniranje skoro pa završeno (nadam se).


[Rešeno] hao_123 - vlada - 30.01.2014. 22.54

proveri dns servere koje koristis


[Rešeno] hao_123 - BagZačin - 30.01.2014. 23.27

Koristim Google-ove... (8.8.8.8 i 4.4.4.4).


[Rešeno] hao_123 - vlada - 30.01.2014. 23.49

zabrani redirekciju u FF


[Rešeno] hao_123 - BagZačin - 31.01.2014. 00.11

Kod:
----------- SCAN SUMMARY -----------
Known viruses: 3095902
Engine version: 0.97.8
Scanned directories: 49070
Scanned files: 325306
Infected files: 0
Total errors: 16040
Data scanned: 11814.40 MB
Data read: 17144.02 MB (ratio 0.69:1)
Time: 6382.011 sec (106 m 22 s)
Ništa....
@Vlada zar nije zabrinjavajuće što više bruzera ima iste simptome????
Dok je scan trajao, pregledao sam šta je update-ovano u skorije vreme.... Ne kontam... Samo je Chrome došao, i updateovi za Ubuntu SDK.... (i njihovi su i jedini source-vi koji su dodati, pardon, i kivy, al oni i nisu relevantni, jer je neki od njihovih paketa došao... hmmm...davno...).
Ništa... Izgleda je vreme za menjanje distro-a... (A taman se čovek navikne....).


[Rešeno] hao_123 - promis - 31.01.2014. 00.31

Hajde sad dalje. Napravi novog korisnika.


[Rešeno] hao_123 - BagZačin - 31.01.2014. 01.05

To će mi biti treći korisnik Smile
Napravio... Radi sa njega... No, pošto je za mene isuviše kasno, sutra će da se proveri da li je problem bio negde u home-u usera. Nekako ja sumnjam u neki spoljni faktor. Čudno je baš da na ajde da se izrazim tako, na slučajnim mestima, i u slučajnom trenutku redirektuje bruzer... Na ovom forumu se to desilo dok sam slao onu poruku koja se ponovila 3 puta... Očigledno je ovom serveru poslao moju poruku, ali meni nije vratio stranicu sa temom već - neki Kineski šop, il šta je.... (Slabo divanim Madž... ovaj Kineski... što bi rekao Đole).


[Rešeno] hao_123 - deajn - 31.01.2014. 03.31

Doduše nisam nikada imao to čudo, ali koliko sam video na netu, može da se eliminiše.
Pogledaj u Add-ons-Extensions, imali to čudo pa ukloni.
Ovde, doduše sve na windowsu, ali kažu
Citat:Firefox ---> Options ---> Options ---> Privacy ---> Change "Remember History" to "Use Customs Settings for history" ---> Exceptions - Select "hao123" - Remove site ---> Close ---> Problem Solved
https://support.mozilla.org/en-US/questions/975201

Koliko sam video ima još brdo načina, probaj, mislim da to može da se reši.
Za Chrome ima nešto slično, potraži.


[Rešeno] hao_123 - profiler1982 - 31.01.2014. 07.48

vidi koja ti je startpage u firefoxu i obrisi komplet istoriju iz njega, pa onda vidi.
na win se nekad to desavalo kad se instalira neki program pa "povuce" i podesenje za start stranu u default brosweru. adressbar u firefox-u (ekvivalent omnibar-u u chrome) po defaultu kad kucas u njemu trazi prvo po istoriji pa po bookmarks-ima pa onda ako ne nadje ode na search engine. tu brisanje istorije pomogne uglavnom.


[Rešeno] hao_123 - BagZačin - 31.01.2014. 10.44

Ljudi, jel vidite da sam bio menjao i profil FF-a, i folder sa podešavanjima, a i user-a (sa novim user-om za sada nema problema, hvala Promis, nisam se setio za to).
Inače mi FF nije pamtila istoriju, startpage je bio https googletov, nikakvi add-ovi itd...
Ovo je bilo došlo od nekuda... Ili sa spoljne strane, ili je nešto što je instalirano.... Zanimljivo je da se dešavalo samo juče (za danas ću proveriti).


[Rešeno] hao_123 - zika - 31.01.2014. 10.52

http://support.mozilla.org/en-US/questions/975201
http://malwaretips.com/blogs/remove-hao123-virus/
HAO je došao kao „poboljšanje“ browser-a i slično...
Ako ponovo počnem o script-ama i sličnom... Wink)))))


[Rešeno] hao_123 - BagZačin - 31.01.2014. 11.27

(31.01.2014. 10.52 )zika Piše:  http://support.mozilla.org/en-US/questions/975201
http://malwaretips.com/blogs/remove-hao123-virus/
HAO je došao kao „poboljšanje“ browser-a i slično...
Ako ponovo počnem o script-ama i sličnom... Wink)))))
Žiko, videh ove linkove i pre nego što sam se obratio na forumu.... Nema skripte koja se pokreće/pokrećala na sistemu samostalno (ili namerno) sa moje strane. Već sam rekao koje su mi dodatne riznice uključene... U home-u je bio ručno instaliran jedino komodo edit... Ručno su još instalirane Panda3d i PyGame, ali davno... Kao što rekoh, danas problema nema.... Za dalje ću videti... Možda je stvarno u home-u prethodnog korisnika nešto, a to se mora raskopati i prokopati... Odakle se stvorilo, i zašto... Nemam pojma!


[Rešeno] hao_123 - vlada - 31.01.2014. 13.22

proveri:
/etc/hosts
/etc/resolv.conf


[Rešeno] hao_123 - profiler1982 - 31.01.2014. 13.47

jedino da izbrises firefox kompletno preko synaptic-a i posle da odes na:
Kod:
locate firefox
i izbrises sve vezano za njega jer uvek ostane nesto iza.
evo na sta nalete na https://bugs.launchpad.net/ubuntu/+source/ubuntu-defaults-zh-cn/+bug/952868 jest matoro ali mozda ti pomogne


[Rešeno] hao_123 - BagZačin - 31.01.2014. 16.36

U fajlovima je sve OK. Definitivno je negde u home-u... Na novom Useru, nije se desilo niti jednom, čim sam se vratio na stari nalog - jao-hao-jupi-je...Ali ne na svim sajtovima. Sada backup važnih fajlova pa brisanje celog usera, sve sa njegovim home-om. Videćemo dalje dal će se pojaviti i kod novog takvi simptomi....


[Rešeno] hao_123 - vlada - 31.01.2014. 16.39

proveri:
~/.profile

u tom useru koji brlja


[Rešeno] hao_123 - BagZačin - 31.01.2014. 16.43

Kod:
# ~/.profile: executed by the command interpreter for login shells.
# This file is not read by bash(1), if ~/.bash_profile or ~/.bash_login
# exists.
# see /usr/share/doc/bash/examples/startup-files for examples.
# the files are located in the bash-doc package.

# the default umask is set in /etc/profile; for setting the umask
# for ssh logins, install and configure the libpam-umask package.
#umask 022

# if running bash
if [ -n "$BASH_VERSION" ]; then
    # include .bashrc if it exists
    if [ -f "$HOME/.bashrc" ]; then
        . "$HOME/.bashrc"
    fi
fi

# set PATH so it includes user's private bin if it exists
if [ -d "$HOME/bin" ] ; then
    PATH="$HOME/bin:$PATH"
fi
~
(END)
Ništa čudno....

Čak i elinks u tom useru (uperen na http://www.google.com)!
http://www.dodaj.rs/f/1T/6c/4lXa0HOR/screenshot-from-2014-01-.png
Što daje:
Kod:
发现新版本,建议升级您的浏览器,1秒打开hao123
   [IMG]
   百度首页
   网页音乐视频图片贴吧知道新闻地图更多>>
   _____________________ 实时热点
   [ 百度一下 ]

References

   Visible links
   . http://dl.123juzi.net/hao123JuziBrowser_1.1.3.6_h2.exe
   . http://2014.hao123.com/
   . http://www.baidu.com/index.php?tn=sitehao123
   . http://www.hao123.com/
   . http://music.baidu.com/
   . http://v.baidu.com/
   . http://image.baidu.com/
   . http://tieba.baidu.com/
   . http://zhidao.baidu.com/
   . http://news.baidu.com/
   . http://map.baidu.com/
   . http://www.baidu.com/more/
   . http://top.baidu.com/buzz?b=1
Zanimljivo.... Begam ja na novog korisnika..... A možda je sigurnije menjati sistem.....


[Rešeno] hao_123 - vlada - 31.01.2014. 17.38

jesi li proverio ~/bin subdir sta ima (na budjavom korisniku Sad )

p.s proveri i:
~/.bashrc ili ~/.bash_profile ili ~/.bash_login
Citat:# ~/.profile: executed by the command interpreter for login shells.
# This file is not read by bash(1), if ~/.bash_profile or ~/.bash_login exists



[Rešeno] hao_123 - zika - 31.01.2014. 17.52

Kod:
sudo chkrootkit
?


[Rešeno] hao_123 - BagZačin - 31.01.2014. 18.28

(31.01.2014. 17.52 )zika Piše:  
Kod:
sudo chkrootkit
?

Svaka čast....
Kod:
....preskočeno....
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/jvm/.java-1.7.0-openjdk-i386.jinfo /usr/lib/jvm/.java-1.6.0-openjdk-i386.jinfo /usr/lib/python3/dist-packages/PyQt5/uic/widget-plugins/.noinit /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/pymodules/python2.7/.path /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/profileRegistry/PlatformProfile.profile/.data /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/profileRegistry/PlatformProfile.profile/.data/.settings /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/profileRegistry/PlatformProfile.profile/.lock /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/eclipse/dropins/sdk/plugins/org.eclipse.pde.build_3.8.1.dist/.api_description /usr/lib/eclipse/dropins/sdk/plugins/org.eclipse.pde.build_3.8.1.dist/.options /usr/lib/eclipse/configuration/org.eclipse.osgi/bundles/35/1/.cp /usr/lib/eclipse/configuration/org.eclipse.osgi/bundles/163/1/.cp /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.600.dist/.api_description /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.600.dist/.options /usr/lib/eclipse/plugins/org.eclipse.core.runtime.compatibility.registry_3.5.100.dist/.api_description /usr/lib/eclipse/plugins/org.eclipse.platform_3.8.1.dist/.api_description /usr/lib/eclipse/plugins/org.eclipse.ui.workbench.compatibility_3.2.101.dist/.api_description /usr/lib/eclipse/.eclipseproduct /usr/lib/debug/.build-id
/usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/profileRegistry/PlatformProfile.profile/.data /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/profileRegistry/PlatformProfile.profile/.data/.settings /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/eclipse/configuration/org.eclipse.osgi/bundles/35/1/.cp /usr/lib/eclipse/configuration/org.eclipse.osgi/bundles/163/1/.cp /usr/lib/debug/.build-id

....
....
Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED
....
....
Preskočio sam ono što nije imalo nikakvog nađenog isl...
Kojim putem dalje?

(31.01.2014. 17.38 )vlada Piše:  jesi li proverio ~/bin subdir sta ima (na budjavom korisniku Sad )

p.s proveri i:
~/.bashrc ili ~/.bash_profile ili ~/.bash_login

U ovim fajlovima je uobičajeno... Boje terminala aliasi itd.... Ništa zanimljivo....


[Rešeno] hao_123 - promis - 31.01.2014. 19.20

Ova prijava za Suckit je bug. Tako da ni to nije ništa.


[Rešeno] hao_123 - BagZačin - 31.01.2014. 21.23

Na žalost moje radovanje nije dugo trajalo sa novim user-om...
Odustajanje je na pomolu....

BTW...
Kod:
sudo debsums -ca
/etc/default/avahi-daemon
/etc/cups/cupsd.conf
/etc/gnome/defaults.list
/etc/subuid
/etc/subgid
/etc/bash_completion.d/mercurial
/etc/default/whoopsie
/var/lib/xine/xine.desktop